據(jù)微博2013年7月22日傳出來的消息,淘寶的數(shù)據(jù)庫因?yàn)镾trust2漏洞被拖了,俗稱拖庫。這意味著淘寶的數(shù)據(jù)庫存在被泄露的風(fēng)險,一如曾經(jīng)的CSDN數(shù)據(jù)泄露,而對于淘寶和支付寶來說,如果傳聞當(dāng)真,數(shù)據(jù)泄露造成的損失將無法估量,堪稱互聯(lián)網(wǎng)災(zāi)難日。而淘寶網(wǎng)官方也對此傳聞第一時間迅速地進(jìn)行了澄清辟謠,表明淘寶未發(fā)現(xiàn)受Struts命令執(zhí)行漏洞影響,截止目前,用戶的數(shù)據(jù)安全和帳戶數(shù)據(jù)未見任何異常。目前來看,拖庫的傳聞是謠言的可能性更大,但無論如何,對于類似“拖庫”這樣陌生的專業(yè)名詞,什么是拖庫攻擊,Strusts2高危漏洞又是怎么一回事?相信很多網(wǎng)友都存在著疑惑,以下為你一一詳解。
什么是拖庫?
拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用,但其實(shí)語意很簡單,就是從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù),或者可以簡單理解為“下載數(shù)據(jù)庫”。很多時候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用,并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式,例如:TXT,XLS等格式。而到了黑客攻擊泛濫的今天,它也常被用來指網(wǎng)站遭到入侵后,黑客竊取其數(shù)據(jù)庫。
(資料圖片)
什么是拖庫攻擊?
拖庫攻擊通常分為以下步驟:
首先,黑客對目標(biāo)網(wǎng)站進(jìn)行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞、Struts命令執(zhí)行漏洞等。
然后,通過該漏洞在網(wǎng)站服務(wù)器上建立“后門(webshell)”,通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。
最后,利用系統(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫,或查找數(shù)據(jù)庫鏈接,將其導(dǎo)出到本地。
什么是Strusts2漏洞事件?
7月17日,Apache Struts2發(fā)布漏洞公告,稱其Struts2 Web應(yīng)用框架存在一個可以遠(yuǎn)程執(zhí)行任意命令的高危漏洞。并且直接在漏洞公告中將漏洞利用代碼給公布出來了。這一漏洞的公布直接導(dǎo)致許多安全公司和互聯(lián)網(wǎng)公司安全部門的工程師們都沒睡好覺,通宵達(dá)旦的在加班。因?yàn)閲鴥?nèi)的很多銀行、政府機(jī)構(gòu)、幾乎所有的大中型互聯(lián)網(wǎng)公司都是使用Struts2框架的。利用Struts2漏洞,最常見會發(fā)生的就是網(wǎng)站的數(shù)據(jù)泄露,黑客可輕易攻陷網(wǎng)站服務(wù)器,對網(wǎng)站的數(shù)據(jù)庫進(jìn)行“拖庫”,從而獲取網(wǎng)站注冊用戶的帳號密碼和個人資料等。目前,網(wǎng)絡(luò)上已出現(xiàn)了一些自動化、傻瓜化的Stuts2漏洞攻擊軟件了。
拖庫存在什么危害?
根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼,一旦數(shù)據(jù)庫被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄,對一些敏感的金融行業(yè)是致命的危害,對普通用戶可能造成財產(chǎn),個人隱私的損失或泄漏。2011年末的密碼危機(jī)拖庫事件便是典型的例子。
對于媒體型互聯(lián)網(wǎng)站來說,泄漏的是郵箱賬戶和密碼。黑客通常會利用其猜測其它網(wǎng)站的密碼,或者收集郵箱賬戶做成數(shù)據(jù)庫,賣給垃圾郵件發(fā)送者。
對于有較多個人信息的SNS社交網(wǎng)站來說,黑客可以利用個人資料去進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚、“QQ借錢詐騙”等。
對于電商網(wǎng)站,數(shù)據(jù)庫主要包含了用戶的購買行為、住址、手機(jī)號、支付帳號等,黑客可高價販賣用戶行為資料給行業(yè)的競爭對手進(jìn)行網(wǎng)絡(luò)營銷或者直接進(jìn)行網(wǎng)絡(luò)詐騙。
對于銀行、證券等網(wǎng)站危害更是不可想象,一旦出現(xiàn)安全漏洞,分分鐘就可能是巨大的金額損失。
所以說,拖庫的危害因人而異,取決于數(shù)據(jù)庫的價值。
無論淘寶的數(shù)據(jù)庫是否有被拖,但Struts2高危漏洞引發(fā)的潛在拖庫危害確實(shí)存在,對于網(wǎng)友來說,加強(qiáng)自我安全保護(hù)意識也是必須的,根據(jù)不同的網(wǎng)站設(shè)置不同的密碼,一旦發(fā)現(xiàn)帳號異常、立即更改密碼,才能將潛在危害減至最小。
近日,淮北礦業(yè)控股股份有限公司(以下簡稱淮北礦業(yè))以視頻錄播、網(wǎng)絡(luò)文字互動的形式,成功在上證路演中心舉辦企業(yè)2022年度業(yè)績說明會。更多
2023-04-18 11:15:244月14日,河南能源在機(jī)關(guān)中心會議室召開一季度經(jīng)濟(jì)運(yùn)行分析會議。會議指出,今年以來,河南能源新領(lǐng)導(dǎo)班子團(tuán)結(jié)帶領(lǐng)廣大干部職工奮力實(shí)現(xiàn)了更多
2023-04-18 11:04:41從中國煤炭工業(yè)協(xié)會了解到,越來越多的高端智能化裝備與技術(shù)已經(jīng)轉(zhuǎn)化成為我國煤礦的先進(jìn)生產(chǎn)力。 中國煤炭工業(yè)協(xié)會提供的數(shù)據(jù)顯示,201更多
2023-04-18 10:01:49為貫徹落實(shí)中央大興調(diào)查研究的要求,4月12日、14日自然資源部分別召開座談會,聽取油氣企業(yè)、中央管理地勘單位以及地礦領(lǐng)域院士專家關(guān)于組更多
2023-04-18 10:03:26目前,全國已有370余處礦井應(yīng)用了巡檢、噴漿、鉆錨、滅火、救援等共計31種煤礦機(jī)器人。機(jī)器人領(lǐng)域的精準(zhǔn)控制、定位導(dǎo)航、機(jī)器視覺、自主決更多
2023-04-18 10:07:533月份,規(guī)模以上工業(yè)主要能源產(chǎn)品生產(chǎn)均保持同比增長。與1—2月份比,原煤、天然氣生產(chǎn)有所放緩,原油、電力生產(chǎn)加快?! ∫?、原煤、原油更多
2023-04-18 10:01:12上周市場情況綜述 產(chǎn)地方面,上周市場氛圍延續(xù)低迷表現(xiàn),受前期產(chǎn)地外購價格下調(diào)影響,晉陜蒙整體價格小幅下行?! 」?yīng)端仍在較高水更多
2023-04-18 10:05:51淮北礦業(yè)在其日前舉行的業(yè)績發(fā)布會上表示,2022年公司實(shí)現(xiàn)營業(yè)收入69062億元,同比增加552%;歸母凈利潤7010億元,同比增加4283%?! ⊥?a class="more" href="http://konar.com.cn/newsinfo/gn/20230418/121538.html">更多
2023-04-18 08:54:39華陽股份近日發(fā)布了2022年年報,2022年,公司實(shí)現(xiàn)營業(yè)收入35042億元,同比下降786%;歸屬于上市公司股東的凈利潤7026億元,同比增長9895%更多
2023-04-18 09:10:40湖南省應(yīng)急管理廳、省財政廳、國家礦山安全監(jiān)察局湖南局近日聯(lián)合下發(fā)通知,湖南省將充分利用新一代信息技術(shù),給礦山裝上AI智能識別等高科更多
2023-04-18 09:15:45